Зміст:
- Що робить CISO
- Пейзаж для професіоналів з безпеки
- Інші бюджети та безпека для малого та середнього бізнесу
Підприємства нападають на кібератаки з тривожною швидкістю. Основні порушення компанії Target у грудні 2013 року та Неймана Маркуса у січні 2014 року засвітили велику увагу на недоліки, які мають багато торгових точок у їхній інфраструктурі безпеки. Як результат, все більше і більше компаній, і великих, і малих відчувають необхідність активізувати свої зусилля та мати спеціальну команду з питань безпеки.
Згідно з доповіддю, оприлюдненим Reuters у травні 2014 року, ряд великих корпорацій, таких як Pepsi та JPMorgan Chase & Co., шукають нових головних співробітників інформаційної безпеки (CISO), намагаючись посилити практику безпеки. Це відображає більшу обізнаність про безпеку та її важливість на рівні виконавчої влади бізнесу.
CISO та керівники з питань кібербезпеки занурені в безпеку своїх технологій як для роботодавців, так і для клієнтів, але їх роль та обов'язки стають все більш вираженими та необхідними в очах широкої громадськості, а не лише серед громадськості безпеки.
"П'ять років тому інформаційна безпека ледь не зламала топ-10 проблемних комісій. Рік тому це було №2. Цікаво, що зараз безпека даних, а не лише інформаційна безпека", - каже Девід Бомер, регіональний керуючий партнер рекрутингової фірми Heidrick & Бореться у відео YouTube, створеному компанією.)
Що робить CISO
Роль CISO може бути досить широкою, і вони часто опиняються в різних шапках. Робота передбачає все - від внутрішньої безпеки, наприклад, управління безпекою інтелектуальної власності, до відповідальності за безпеку клієнтів.
"Я також працюю з нашою командою продуктів та інженерною командою, щоб впровадити в продукт функції, які можуть бути цікаві покупцям з безпеки", - каже Джоан Пепін, CISO компанії Sumo Logic.
Хоча минулого року про порушення цільових дій, звичайно, багато людей розмовляло, Пепін пояснює, що її не все так здивувало - і не було більшості спільноти безпеки. Це не означає, що у спільноти безпеки не було своїх «переломних моментів», де всім потрібно було посилити свою роботу вперед.
Порушення RSA в 2011 році, коли хакери порушили сервери компанії з інформаційної безпеки та викрали маркери аутентифікації, які забезпечували доступ до конфіденційних даних уряду та корпорації, мали багато фахівців із безпеки. Як охоронна компанія може стати здобиччю таких хакерів? Тільки через два роки ця стурбованість перенесеться на ціль, яка раніше летіла під радари: роздрібні клієнти. Такі напади, як ті, які спостерігаються у Target та Neiman Marcus, привернули увагу до безпеки для повсякденного клієнта.
"Ясна річ, коли у вас є масштабна операція з роздрібною торгівлею з тисячами і тисячами співробітників, усі ці різні сайти, торгові машини, це найбідніший вид системи і той факт, що ці типи атак не траплялися на це тип масштабу швидше насправді трохи несподіваний для мене ", - сказав Пепін.
Проблема випливає з того, що безпеку вважають просто прапором для того, щоб компанії поставили галочку та залишали її, а не постійним аспектом свого бізнесу. Це не означає, що кіберзлочинці слабкі і можуть просто зайти. Насправді, кіберзлочинці стають все більш кваліфікованими.
"Це було досить складним порушенням, яке могло себе представити агентом BMC, а також типи прихованих речей. Займатися бічними рухами по всій мережі Target було досить розумно", - сказав Пепін.
"Я не хочу відмовлятися від цього, але з точки зору складності в цільовій діяльності, без кару, я ніколи не ставлю жодну роздрібну мережу до списку важких цілей. Охоронні компанії - важкі цілі, уряд - важка мета. У якійсь роздрібній мережі, в якій продаються шкарпетки, я б не очікував, що вони будуть супер захищеним магазином ".
Пейзаж для професіоналів з безпеки
У червні 2014 року Target найняв свого першого CISO, Бреда Майоріно, колишнього керівника компанії General Motors, який здійснюватиме нагляд за капітальним ремонтом практик безпеки компанії.
Підприємствам, незалежно від сфери чи їх розміру, потрібно буде взяти до відома та покращити свою безпеку у відповідь на постійно зростаючі загрози з більшою обізнаністю та більшою владою діяти щодо можливих порушень.
"Було зрозуміло … у справі" Ціль "надходили сповіщення, на які ніхто не реагував, і що, на мій досвід, керовані керованою безпекою, є надзвичайно типовим", - сказав Пепін.
"Найкраща система виявлення вторгнень у світі все ще має дуже високий показник помилкових позитивних результатів, тому реагування на безпеку в основному навчається їх системами ігнорувати їхні системи. Існує технологічний розрив взаємодії людини, де перші реагуючі стають онімілими до тисяч Попередження про те, що вони потрапляють у сміття. У випадку з цільовою метою були деякі ознаки, за якими не можна було дотримуватися, які могли допомогти скоротити наслідки набагато швидше ".
Як це часто трапляється, професіонал безпеки не може негайно діяти з проблеми, оскільки їм потрібне підтвердження або схвалення від когось іншого вище в ієрархії. Це потрібно змінити, каже Пепін, пояснюючи, що команда з безпеки компанії повинна мати більше автономії та повноважень, щоб проявляти ініціативу.
"Я відчуваю, що це все ще питання управління в тому, що головні службовці інформаційної безпеки не повинні звітувати перед CIO", - каже Том Келлерман, головний директор з питань кібербезпеки Trend Micro. "Вони повинні звітувати перед головним спеціалістом з ризику або безпосередньо генеральним директором". Це позбавляє багатьох посередників і забезпечує швидший час реагування на потенційні надзвичайні ситуації.
Пепін погоджується, що фахівці з безпеки повинні "звітувати прямо у верх" у своїй компанії. "Мені пощастило, що я звітую перед нашим генеральним директором. Це працює дуже добре, і це я дуже рекомендую будь-якій організації, яка серйозно ставиться до її безпеки".
Інші бюджети та безпека для малого та середнього бізнесу
Наймання CISO та розширення вашої команди з безпеки - це все добре і добре, якщо у вас є бюджет, а як бути з меншими компаніями? Хоча атака на невелику мережу або ваш місцевий магазин обладнання не отримає такої користі для хакерів, як потрапляння в ціль або Неймана Маркуса, все-таки нерозумно будь-яким чином залишати себе вразливим. То що ви можете зробити, щоб зменшити ризик нападу? Пепін настійно рекомендує найняти послуги підрядника або консультанта щодо реагування на інциденти.
"Якщо на вас напали, у вас є хтось, кого ви можете зателефонувати, тож вам не потрібно відкривати Google і починати шукати", - сказала вона.
Це матиме більше економічного сенсу для меншої компанії, пояснює вона, оскільки бізнес використовуватиме послуги лише тоді, коли вони знадобляться. Ці послуги також надзвичайно спеціалізовані для пошуку місця, де ваш персонал зупинився.
"Ви можете мати фантастичну команду для проведення випробувань, розуміючи, що ви піддаєтеся атаці, але це не зовсім той самий набір навичок, необхідний, щоб реагувати на цю атаку, виводити їх із своєї мережі та збирати докази способом, який може використовуватися в суді закону ".
Компанії мають у своєму розпорядженні багато ресурсів для боротьби з кіберзлочинністю. Нещодавня історія свідчить про ще одну велику атаку за кутом.
